Показаны сообщения с ярлыком Trojan. Показать все сообщения
Показаны сообщения с ярлыком Trojan. Показать все сообщения

30 января 2013 г.

Beware of fake Windows 8 Activators

скрин первого сайта
Новенькая Windows 8 наверное пользуется большим спросом у многих пользователей. 
В основном говорят она удобна для планшетов, в этом наверное её плюс...
(сами на старой доброй семерки сидим)

Тем не менее плохие парни постоянно, используя торговую марку Microsoft, чтобы заманить пользователей на свои уловки. 
Trend Micro обнаружили несколько сайтов (IP-адреса находятся один >>> в Латвии, другой >>> в Румынии.) 

Первый сайт (Латвийский), якобы предлагает бесплатную активацию новой Винды (Windows 8) на самом деле это всего лишь обычный trojan.
Второй (Румынский) предлагает бесплатно скачать активатор, не видитесь! 
Операционка как бы активируется, но trojan засядет наглухо в памяти вашей системы. 

Следует отметить что ранее с этих IP-адресов, торговали поддельными версиями популярного мобильного приложения, такие как Instagram и Angry Birds. 

Эти хакерские генераторы активации Windows 8 обычные вредоносные троянские программы, которые могут передавать важные данные для хакеров или даже установить незаметно для пользователя trojan, который в конечном итоге передает полный контроль плохим парням над вашим компьютером. 

Одним словом, бесплатный сыр бывает только в ... (в общем вы сами знаете).
Да, если вы заботитесь о безопасности своего компьютера проверьте его на вирусы вот здесь Smart Protection Network™ 
Также хорошие парни из Trend Micro помогут вам найти, и уничтожить HTKL_KEYGEN.
Удачи...

скрин второго сайта


       
 Bloggers - Meet Millions of Bloggers
Спасибо что читаете нас, поделитесь постом с друзьям.
Сохранить ссылку на 100zakladok.ru
на Комментариев нет:
Ярлыки: , , , , , ,

10 августа 2011 г.

Trojan-Ransom.Win32.PornoAsset.hg




Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.

Инсталляция

Создает копии своего оригинального файла под следующими именами:
%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe
Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".
В зависимости от версии операционной системы может создавать копию своего файла с именами:
%WinDir%\explorer.exe
%System%\dllcache\explorer.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Shell" = "%AllUsersAppData%\22cc6c32.exe"

Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).
Также троянец создает копии системных файлов:
  1. файл
    %System%\userinit.exe
    сохраняет с именем:
    %System%\03014D3F.exe
  2. файл
    %WinDir%\explorer.exe
    сохраняет с именем:
    %WinDir%\7C3B2A7D.exe
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
BFFF5675-ADC0-4740-81FF-7540597A0DC5
При этом номер телефона выбирается случайным образом из следующих:
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
  2. Удалить файлы:
    %AllUsersAppData%\22cc6c32.exe  
%System%\taskmgr.exe  
%System%\dllcache\taskmgr.exe  
%System%\userinit.exe  
%System%\dllcache\userinit.exe  
%AllUsersAppData%\<rnd>.exe
  3. Переименовать:
    Файл
    %System%\03014D3F.exe
    переименовать в файл:
    %System%\userinit.exe
    Файл %WinDir%\7C3B2A7D.exe
    переименовать в файл:
    %WinDir%\explorer.exe
    4. 

  4. Восстановить файл:
    %System%\taskmgr.exe
    5. 

  5. Установить следующее значение для параметра ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\  CurrentVersion\Winlogon]  
"Shell" = "explorer.exe" 
    6. 










на





Комментариев нет:
  



















Ярлыки:
,
,




















        

      









Подписаться на:
Сообщения (Atom)